osquery

Utilice la extensión de contenido IBM Security QRadar osquery Custom Properties Content Extension para supervisar de cerca los dispositivos Linux® mediante osquery.

Nota: Esta extensión de contenido no se instala cuando la propiedad personalizada Nombre de archivo padre está presente desde Cisco AMP 1.0.0. Suprima Nombre de archivo padre antes de instalar esta extensión de contenido.

Importante: Para evitar errores de contenido en esta extensión de contenido, mantenga actualizados los DSM asociados. Los DSM se actualizan como parte de las actualizaciones automáticas. Si las actualizaciones automáticas no están activadas, descargue la versión más reciente de los DSM asociados desde IBM® Fix Central (https://www.ibm.com/support/fixcentral).

IBM Seguridad QRadar osquery Propiedades personalizadas Extensión de contenido

IBM Seguridad QRadar osquery Propiedades personalizadas Extensión de contenido 1.0.2
IBM Seguridad QRadar osquery Propiedades personalizadas Extensión de contenido 1.0.1
IBM Seguridad QRadar osquery Propiedades personalizadas Extensión de contenido 1.0.0

IBM Seguridad QRadar osquery Propiedades personalizadas Extensión de contenido 1.0.2

La tabla siguiente muestra las propiedades personalizadas nuevas y actualizadas en IBM Security QRadar osquery Custom Properties Content Extension 1.0.2.

Tabla 1. Propiedades personalizadas nuevas y actualizadas en IBM Security QRadar osquery Custom Properties Content Extension 1.0.2
Nombre	Optimizada	Grupo de capturas de expresión regular	Expresión regular
ID de proceso	Sí	1	x_forwarded_for_header_value="([^"]*)"

IBM Seguridad QRadar osquery Propiedades personalizadas Extensión de contenido 1.0.1

La tabla siguiente muestra las propiedades personalizadas nuevas y actualizadas en IBM Security QRadar osquery Custom Properties Content Extension 1.0.1.

Tabla 2. Propiedades personalizadas nuevas y actualizadas en IBM Security QRadar osquery Custom Properties Content Extension 1.0.1
Nombre	Optimizada	Grupo de capturas de expresión regular	Expresiones
Imagen de contenedor	Sí	1	Expresión regular \bimage":"([^\s"]+)".*action":"added" JSON /"columns"/"image"
ID de imagen de contenedor	Sí	1	Expresión regular \bimage_id":"([^\s"]+)".*action":"added" JSON /"columns"/"image_id"

IBM Seguridad QRadar osquery Propiedades personalizadas Extensión de contenido 1.0.0

La tabla siguiente muestra las propiedades personalizadas en IBM Security QRadar osquery Custom Properties Content Extension 1.0.0.

Tabla 3. Propiedades personalizadas en IBM Security QRadar osquery Custom Properties Content Extension 1.0.0
Nombre	Optimizada	Grupo de capturas de expresión regular	Expresiones
ID de contenedor	Sí	1	Expresión regular \bid":"([^\s"]+)" \bcontainer_id":"([^\s"]+)" JSON /"columns"/"id" /"columns"/"container_id"
Imagen de contenedor	Nee	1	Expresión regular \bimage":"([^\s"]+)".*action":"added" JSON /"columns"/"image"
ID de imagen de contenedor	Nee	1	Expresión regular \bimage_id":"([^\s"]+)".*action":"added" JSON /"columns"/"image_id"
Nombre de contenedor	Nee	1	Expresión regular \bcontainer_name":"\/{0,1}([^\"]+)
Punto de montaje de destino	Nee		JSON /"columns"/"destination"
Directorio de archivos	Sí	1	Expresión regular \btarget_path[\":\s]+([^\"]+)\/[^\"]+
Extensión de archivo	Sí	1	Expresión regular \btarget_path":".?\/[^\/]+\.([^\/\.]?)"
Permisos del archivo	Sí		JSON /"columns"/"mode"
Nombre de archivo	Sí	1	Expresión regular \btarget_path[\":\s]+[^\"]+\/([^\"\/]+)"
GroupID	Sí		JSON /"columns"/"gid"
Etiqueta de imagen	Nee	1	Expresión regular \btags":"([^\"]+)" JSON /"columns"/"tags"
Nombre de proceso padre	Sí	1	Expresión regular \bparent_process_name":"([^\"]+)".*"action":"added" JSON /"columns"/"parent_process_name"
Ruta del proceso padre	Sí	1	Expresión regular parent_process_path":"([^\"]+)".*?"action":"added" JSON /"columns"/"parent_process_path"
Contenedor privilegiado	Sí	1	Expresión regular \bprivileged":"(\d)".*"action":"added" JSON /"columns"/"privileged"
Línea de comandos de proceso	Sí	1	Expresión regular cmdline":"(.?)"."action":"added" JSON /"columns"/"cmdline"
ID de proceso	Nee	1	Expresión regular \bpid":"(\d+)" JSON /"columns"/"pid"
Nombre de proceso	Sí	1	Expresión regular \bprocess_name":"([^\"]+)".*action":"added JSON /"columns"/"process_name"
Detalles de regla	Sí		JSON /"columns"/"rule_details"
Hash SHA256	Sí	1	Expresión regular \bsha256":\s"([^\"]+)".action":"added JSON /"columns"/"sha256"
Punto de montaje de origen	Sí		JSON /"columns"/"source"
Nombre de usuario de destino	Sí		JSON /"columns"/"header" /"columns"/"username"
ID de usuario	Sí		JSON /"columns"/"uid"